

• 2026 年 4 月 30 日之後將不再提供 AWS Systems Manager CloudWatch Dashboard。客戶可以繼續使用 Amazon CloudWatch 主控台來檢視、建立和管理其 Amazon CloudWatch 儀表板，就像現在一樣。如需詳細資訊，請參閱 [Amazon CloudWatch Dashboard 文件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Azure 聯合角色
<a name="cloud-connector-azure-federation-role"></a>

Azure 聯合角色可讓 Systems Manager 從 AWS Security Token Service (AWS STS) 取得 Web 身分字符，並透過 OIDC 聯合交換 Azure 憑證。Automation 在執行 Runbook 期間擔任此角色，以向您的 Azure 租用戶進行身分驗證。Systems Manager 服務也會直接擔任此角色，以便在存在任何State Manager關聯之前驗證 Cloud Connector。

**角色名稱模式：** `SSM-AzureRole-{{connector-name}}-{{id8}}`

信任政策包含兩個陳述式：
+ 第一個陳述式可讓客戶的 AWS 帳戶 擔任角色，但前提是呼叫委託人是自動化擔任角色或自動化分派角色 （與 `aws:PrincipalArn`條件相符），且該委託人會加上 標籤`caller=SSM`。Principal-ARN 比對需要擔任角色和分派角色，才能位於 `/service-role/` IAM 路徑下。
+ 第二個陳述式可讓 Systems Manager 服務主體直接擔任該角色。`aws:SourceAccount` 和 `aws:SourceArn`條件透過限制對 AWS 帳戶 和 Cloud Connector ARN 的信任，提供混淆代理人保護。

`123456789012` 以您的 AWS 帳戶 ID 取代 。

```
{
    "Version": "2012-10-17", 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:root"
            },
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalTag/caller": "SSM"
                },
                "ArnLike": {
                    "aws:PrincipalArn": [
                        "arn:aws:iam::123456789012:role/service-role/SSM-AzureAssumeRole*",
                        "arn:aws:iam::123456789012:role/service-role/SSM-AzureDispatchRole*"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Principal": {
                "Service": "ssm.amazonaws.com"
            },
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:ssm:*:123456789012:connector/*"
                }
            }
        }
    ]
}
```

許可政策可讓角色取得 Web 身分字符，其對象僅限於 `api://AzureADTokenExchange`，這是 Microsoft Entra ID 為 OIDC 聯合所需的對象。

**許可詳細資訊**

此政策包含以下許可。
+ `sts:GetWebIdentityToken` – 允許角色從 AWS STS Systems Manager 可以向 Microsoft Entra ID 呈現的 Web 身分字符，以交換 Azure 憑證。
+ `sts:TagGetWebIdentityToken` – 允許 Systems Manager 將身分標籤 （例如連接器 ID) 新增至發行的 Web 身分字符。這可讓您將 Microsoft Entra ID 聯合規則範圍限定為特定 Cloud Connector。

```
{
    "Version": "2012-10-17", 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sts:GetWebIdentityToken",
                "sts:TagGetWebIdentityToken"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "sts:IdentityTokenAudience": [
                        "api://AzureADTokenExchange"
                    ]
                }
            }
        }
    ]
}
```